Bra*_*adC 14 sql-server patching
如果您没有听说过,最近发现了一组相关漏洞,这些漏洞影响了过去十年中销售的几乎所有处理器。您可以在 InfoSec.SE 上找到有关崩溃/幽灵漏洞的更多技术细节。
作为 SQL Server DBA,我需要了解什么?
如果我们不与其他公司共享我们的 SQL Server(或我们的虚拟机群),这是否仍然存在风险?
这只是一个操作系统补丁吗?或者是否有可用于解决此漏洞的 SQL Server 补丁/修补程序?将修补哪些 SQL Server 版本?
一些文章预测了 5-30% 的性能影响,尤其是在高度虚拟化的环境中。有什么方法可以预测对我的 SQL Server 的性能影响可能是什么?
Low*_*n M 14
以下是微软关于漏洞的安全公告,这些漏洞被分配了三个“CVE”编号:
随着新信息的出现,Microsoft KB 正在积极更新有关这些漏洞如何影响 SQL Server 的知识库:
知识库文章 4073225:防止推测执行侧信道漏洞的 SQL Server 指南。
Microsoft 的确切建议将取决于您的配置和业务场景,请参阅知识库了解详细信息。例如,如果您在 Azure 上托管,则无需执行任何操作(环境已打补丁)。但是,如果您在共享虚拟或物理环境中使用可能不受信任的代码托管应用程序,则可能需要其他缓解措施。
SQL 补丁目前可用于以下受影响的 SQL 版本:
这些 SQL 服务器补丁可抵御 CVE 2017-5753(幽灵:边界检查绕过)。
为了防止 CVE 2017-5754(熔毁:流氓数据缓存加载),您可以在 Windows 上启用内核虚拟地址阴影(KVAS)(通过注册表更改)或在Linux上启用Linux 内核页表隔离(KPTI)(通过来自您的补丁) Linux 分发器)。
为了防止 CVE 2017-5715 ( Spectre: Branch target injection ),您可以通过注册表更改和硬件制造商的固件更新启用分支目标注入缓解硬件支持(IBC)。
请注意,您的环境可能不需要 KVAS、KPTI 和 IBC,这些更改对性能影响最大(重点是我的):
Microsoft 建议所有客户安装更新版本的 SQL Server 和 Windows。根据 Microsoft 对 SQL 工作负载的测试,这对现有应用程序的性能影响应该可以忽略不计,但是,我们建议您在部署到生产环境之前进行验证。
Microsoft 测量了内核虚拟地址阴影 (KVAS)、内核页表间接 (KPTI) 和分支目标注入缓解 (IBC) 对各种环境中的各种 SQL 工作负载的影响,并发现了一些工作负载的显着降级。我们建议您在部署到生产环境之前验证启用这些功能对性能的影响。如果启用这些功能对现有应用程序的性能影响太大,客户可以考虑将 SQL Server 与在同一台机器上运行的不受信任的代码隔离是否是他们的应用程序更好的缓解措施。
Microsoft System Center Configuration Manager (SCCM) 特定指南:自 2018 年 1 月 8 日起缓解推测执行侧信道漏洞的附加指南。
相关博文: